Banana RAT

Banana RAT es un sofisticado troyano de acceso remoto (RAT) para la banca, diseñado específicamente para atacar a usuarios en Brasil. Investigadores de seguridad atribuyen la campaña al grupo de amenazas SHADOW-WATER-063, estrechamente vinculado al conocido ecosistema de malware bancario Tetrade en Brasil. Este ecosistema, más amplio, ya incluye familias de malware reconocidas como Grandoreiro, Mekotio, Casbaneiro, Guildma y CHAVECLOAK.

El malware proporciona a los atacantes un control exhaustivo sobre los sistemas infectados, permitiendo la monitorización de la pantalla en tiempo real, la manipulación del teclado y el ratón, el registro de pulsaciones de teclas, la interceptación del portapapeles y la implementación de pantallas falsas de banca o actualizaciones de Windows diseñadas para ocultar actividades financieras fraudulentas. Banana RAT se centra principalmente en comprometer las sesiones de banca en línea y redirigir las transacciones financieras sin que la víctima se dé cuenta.

Cadena de infección y tácticas de evasión

Las víctimas suelen ser engañadas para que ejecuten un archivo por lotes malicioso llamado Consultar_NF-e.bat. Este archivo se disfraza como una factura electrónica brasileña legítima conocida como NF-e (Nota Fiscal Eletrônica), un formato ampliamente reconocido por las empresas en todo Brasil. Su distribución suele producirse a través de mensajes de WhatsApp, campañas de phishing o enlaces maliciosos alojados en dominios controlados por los atacantes.

Banana RAT opera mediante un modelo de malware como servicio (MaaS) que se basa en grandes conjuntos de cargas útiles polimórficas. En lugar de distribuir muestras de malware idénticas, los atacantes mantienen entre 100 y 200 variantes pregeneradas, cada una codificada de forma única para evadir los métodos de detección basados en hash. Cada carga útil está protegida por nueve capas de ofuscación y cifrada con AES-256.

Una vez ejecutado el archivo por lotes malicioso, un programa ligero de PowerShell descarga la carga útil cifrada de la segunda etapa desde la infraestructura del atacante. Esta carga útil se descifra directamente en la memoria y se ejecuta sin escribir código legible en el disco, lo que dificulta considerablemente su detección por parte de las soluciones antivirus tradicionales. Para ocultar aún más las comunicaciones, el malware establece su conexión de comando y control (C2) a través del puerto TCP 443 mediante dominios typosquatting que imitan la infraestructura CDN legítima de Microsoft. El tráfico se cifra con AES-256-CBC y se autentica mediante tokens HMAC vinculados al GUID y la dirección MAC de la máquina infectada, lo que garantiza que solo los operadores autorizados puedan interactuar con el dispositivo comprometido.

Control remoto completo y manipulación bancaria

Tras su ejecución, Banana RAT otorga a los operadores control directo e interactivo sobre el sistema infectado. Los atacantes pueden transmitir la pantalla del escritorio a través de múltiples monitores en tiempo real, simular el uso del teclado y el ratón, e incluso deshabilitar temporalmente los dispositivos de entrada de la víctima mientras se realizan transacciones bancarias no autorizadas en segundo plano.

Las capacidades de vigilancia del malware van más allá del control remoto. Un registrador de pulsaciones integrado graba continuamente las teclas pulsadas en un búfer circular que los operadores pueden recuperar cuando lo necesiten. También se implementa la monitorización del portapapeles, lo que permite a los atacantes reemplazar silenciosamente el contenido copiado, incluidas las direcciones de monederos de criptomonedas, con alternativas controladas por el atacante.

Una característica distintiva de Banana RAT es su sistema de superposiciones enfocado en el sector bancario. El malware monitorea los títulos de las ventanas activas del navegador y los compara con una lista predefinida de 16 instituciones financieras brasileñas, incluyendo Itaú Unibanco, Bradesco, Santander Brasil, Caixa Econômica Federal y Banco do Brasil, además de plataformas de intercambio de criptomonedas que operan en Brasil. Cuando se detecta una coincidencia, los atacantes pueden desplegar superposiciones convincentes a pantalla completa que imitan portales bancarios legítimos o notificaciones de Windows Update, ocultando así las acciones fraudulentas que se llevan a cabo en segundo plano.

Secuestro de códigos QR de Pix y persistencia a largo plazo

Banana RAT incluye un subsistema específico dirigido a Pix, la plataforma de pagos instantáneos de Brasil. Al cargar la biblioteca de procesamiento de códigos de barras ZXing durante la ejecución, el malware escanea la pantalla de la víctima en busca de códigos QR de Pix. Una vez detectados, los atacantes pueden reemplazar los códigos QR de pago legítimos con versiones fraudulentas que desvían fondos a cuentas bajo su control. Se han observado tácticas similares de manipulación de códigos QR en troyanos bancarios brasileños como Mekotio y CHAVECLOAK, lo que refuerza la clasificación de Banana RAT dentro del ecosistema de malware Tetrade.

Para mantener su persistencia, el malware crea una entrada oculta en el Programador de tareas de Windows configurada para reiniciar la carga útil de PowerShell cada minuto durante 9999 días. La tarea programada se ejecuta con ventanas ocultas y sin cumplir las políticas de ejecución, lo que impide que aparezcan avisos o ventanas de consola visibles. Banana RAT también se copia a sí mismo en directorios diseñados para parecerse a las rutas de diagnóstico legítimas de Microsoft, lo que le permite integrarse en ubicaciones de sistemas de confianza y evadir la inspección casual.

Métodos de entrega principales y señales de advertencia

Las campañas de Banana RAT se basan principalmente en la ingeniería social y en técnicas engañosas de entrega de archivos. Los métodos de infección más comunes incluyen:

• Correos electrónicos de phishing que contienen archivos adjuntos de facturas falsas o enlaces de descarga maliciosos.
• Mensajes de WhatsApp y plataformas de chat que contienen documentos NF-e disfrazados
• Descargas automáticas desde sitios web comprometidos y anuncios maliciosos
• Software pirateado, actualizaciones de software falsas y aplicaciones pirateadas.
• Formatos de archivo maliciosos como BAT, JavaScript, accesos directos LNK, archivos ZIP o RAR, documentos de Office, instaladores EXE y paquetes MSI.

Indicadores de compromiso y medidas defensivas

Banana RAT está diseñado específicamente para robar dinero a usuarios bancarios brasileños en tiempo real. Su combinación de acceso remoto en vivo, robo de credenciales, manipulación de códigos QR y superposiciones bancarias permite a los atacantes secuestrar completamente las sesiones financieras, ocultando las transacciones fraudulentas a las víctimas.

Entre los posibles indicadores de compromiso se incluyen:

• Tareas programadas inesperadas configuradas para ejecutar comandos ocultos de PowerShell.
• Conexiones salientes sospechosas a través de canales cifrados que suplantan la infraestructura de Microsoft.
• Comportamiento inusual del ratón o del teclado durante las sesiones de banca en línea.
• Transferencias de Pix no autorizadas o cambios inexplicables en la billetera de criptomonedas.
• Procesos ocultos de PowerShell y actividad anormal en cuentas bancarias.

Cualquier sistema sospechoso de infección debe aislarse de inmediato. Las credenciales bancarias guardadas, el contenido del portapapeles, los tokens de autenticación y la información de la billetera de criptomonedas deben considerarse comprometidos, y todas las contraseñas y credenciales de acceso financiero asociadas deben restablecerse sin demora.